当供应商的技术故障导致业务瘫痪时，无论是几个小时还是几天，谁应该为此付出代价?

　　上个月，网络安全公司CrowdStrike的软件更新出了问题，导致数百万台windows设备崩溃，导致企业混乱，销售损失，以及数百万美元的修复费用，许多人都在问这个问题。

　　事实证明，答案很复杂，取决于企业与软件供应商签订的合同中的细则。公司也经常购买保险来覆盖任何中断，尽管当第三方技术提供商对灾难负责时，这些政策的赔付方式有所不同。

　　显而易见的是，许多雇主在CrowdStrike宕机事件的打击下，突然更加关注他们的软件供应商合同，以便更好地了解当技术出现故障时谁应该承担责任。

　　Michael Mainiero是长岛天主教健康中心(Catholic Health Long Island)的首席数字和信息官，他表示，在CrowdStrike导致纽约医院系统的大部分瘫痪后，他现在正在对供应商合同进行季度状态检查。他还确保天主教健康中心有一个更新的联络点，以便公司所有的供应商知道如果事情出了问题应该找谁。

　　但是Mainiero没有计划要求供应商同意在系统崩溃时承担更大的法律责任。他担心这会阻碍供应商远程更新他们的软件，因为他们担心这会像CrowdStrike一样，以一场技术灾难告终。

　　Mainiero说:“如果你让供应商更新一些东西变得繁重，你可能会削弱你的网络安全态势，增加你的风险敞口。我的重点是与供应商建立强大的合作关系，在危机期间，有能力无缝合作，使系统快速上线。”

　　达美航空(Delta Air Lines)在CrowdStrike宕机后不得不取消了数千个航班，该公司采取了更为激进的立场。该公司表示，将向CrowdStrike索赔5亿美元，以弥补收入损失和额外成本。作为回应，CrowdStrike表示，其与达美航空的合同将其责任限制在1000万美元以下。

　　保险公司WTW的网络风险专家肖恩?斯克兰顿(Sean Scranton)表示，包括首席信息安全官、法务部门、风险经理和内部审计师在内的广泛利益相关者应该共同努力，就合同中的责任语言达成一致。

　　在进行了初步的风险评估后，公司应该考虑如何减少他们发现的潜在问题点，包括要求CrowdStrike等供应商额外批准软件更新。这种人为的疏忽对客户来说是一笔额外的费用。使用第三方软件的公司还可以通过购买保险或接受风险并计划出问题时的详细应对措施来降低崩溃的财务风险。

　　斯克兰顿说:“每个人都有责任管理风险，并确保如果发生事故，我们将其严重性降低。”

　　软件制造商Skillsoft负责合规的高级副总裁阿莎?帕尔默(Asha Palmer)表示，CrowdStrike的惨败表明，企业客户可能过于信任软件供应商，我们可能需要更健康的怀疑。她说，供应商应该告诉客户他们的产品即将进行的任何调整，包括软件更新和他们在开发过程中遇到的任何问题，但客户也必须创建保护自己免受错误软件影响的系统。

　　帕尔默说:“在为你服务的供应商和被服务的人之间存在一种相互责任。”

　　麦卡特律师事务所(McCarter & English)的合伙人史蒂文?韦斯曼(Steven Weisman)表示，传统的商业中断保险不会涵盖crowdstrike这类事件。但是，一些专门针对网络故障的政策可能会补偿客户因第三方软件提供商的错误而造成的部分收入损失和额外费用。

　　保险经纪公司Embroker的理赔主管科里?赫姆(Corrie Hurm)表示，大多数承保业务中断的保险都需要某些触发因素来支付:是系统中断吗?还是网络攻击?每个事件都有不同程度的保险范围。

　　但通常情况下，这些保险政策要求达美航空等公司在出现问题时实施自己的制衡措施。Hurm说，企业也应该使用多样化的软件和硬件供应商，这与许多IT领导者减少与他们合作的供应商数量的建议相反。

　　“如果你把所有的鸡蛋放在一个篮子里，而出现了像这样的停电，你就有大问题了，”Hurm说。- Fortune.com/The纽约时报

　　×